Phishing na miarę nowych czasów. Spoofing, vishing, smishing – co to, jak i dlaczego z tym walczyć?
30.05.2022
Autor: Paulina Wirska
Oszustwa dokonywane przez przestępców działających nie na ulicach, ale w sieci, nie są niczym nowym, ale działania oszustów są coraz bardziej śmiałe i wyszukane. Od wielu lat problemem jest phishing, wiadomości phishingowe wyglądem przypominają te autentyczne, a ich celem jest nakłonienie nas do ujawnienia poufnych informacji, co w wielu przypadkach skutkuje stratami finansowymi. Są one często skuteczne, bo oszust pisze z adresu pozornie mam znajomego, podszywając się pod instytucję finansową lub firmę usługową. Szata graficzna wiadomości lub fałszywych stron, do których wiadomości te odsyłają, zazwyczaj uniemożliwia szybkie rozpoznanie, że mamy do czynienia z oszustwem. Dopiero po skrupulatnej analizie można zweryfikować prawdziwość korespondencji i ustrzec się przed działaniami niepożądanymi, do jakich nakłania nas oszust.
Przez lata nauczyliśmy się bronić przed zagrożeniami działań phishingowych. Dzięki zachowaniu kilku podstawowych zasad można znacząco zmniejszyć ich szkodliwość i lepiej chronić nasze dane osobowe i środki finansowe. Dziś wiemy, że nie należy podawać swoich danych osobowych tam, gdzie to nie jest niezbędne, a jeśli już zdecydujemy się na podanie danych, to musimy być pewni, że robimy to w sposób bezpieczny. Dobry program antywirusowy, zabezpieczona odpowiednio strona, silne i unikalne hasło dostępu do serwisu, to podstawy bezpiecznego działania w sieci. Coraz częściej uważnie weryfikujemy adresy stron, które nas zachęcają do podjęcia określonych działań. Wiemy, że nie należy klikać w linki zamieszczone w e-mailach i by zwracać uwagę na wszelkie nietypowe działania w sieci.
Oszuści wybierają kolejne narzędzia umożliwiające im przestępczą działalność. Obecnie coraz częściej spotykamy się z podszywaniem się oszustów pod niebudzące podejrzeń numery telefonów, z których odbieramy sms’y (smishing) albo komunikaty głosowe, które mają nas nakłonić do zadzwonienia pod podany numer telefonu. Czasem jest to połączenie z numeru podobnego do lokalnego prefiksu, ale może się zdarzyć, że będzie to kompletny numer, np. podszywający się np. pod biura obsługi klienta firmy telekomunikacyjnej albo dostawcy mediów (spoofing), wykorzystanie telefonu do działań pishingowych (vishing).
Spoofing telefoniczny, czyli Caller ID Spoofing, jest chętnie wykorzystywany przez oszustów z powodu prostoty, z jaką niemal każdy może podszyć się pod dowolny numer. Powodem są luki w używanych powszechnie protokołach VoiP, w których serwery mają gotowe rozwiązania do modyfikacji wyświetlanych nagłówków, więc „spoofer” by działać nie musi być nawet ekspertem telekomunikacyjnym. W Internecie znaleźć można darmowe narzędzia, które pozwalają wybrać połączenie na dowolny numer i wyświetlić na telefonie odbiorcy znany mu identyfikator – nazwę banku lub zaufanego kontaktu. Takie aplikacje pozwalają wpisać numer osoby, do której oszust chce zadzwonić i numer, jakim chce się przedstawić (ten numer z kolei przestępca mógł pozyskać poprzez wcześniejszy hacking). Sposób wykorzystania tej technologii zależy od przestępcy, który może na przykład poprosić o wykonanie płatności lub przesłanie poufnych danych.
Sam fakt połączenia od podmiotu, z którym wiąże nas umowa nie ma powodów budzić podejrzeń. Natomiast komunikat, który oszust nam przekazuje zawiera zazwyczaj groźbę działań takich jak odłączenie medium (prądu, gazu, telefonu) jeszcze w tym samym lub w kolejnym dniu w wypadku braku natychmiastowego uiszczenia rzekomo zaległej opłaty, w czym pomóc ma przekazany link. Taka informacja może wywołać u odbiory stres, pod wpływem którego osoba ta może podążyć za wskazówkami oszusta bez wcześniejszego sprawdzenia salda swoich opłat, tym bardziej, że zazwyczaj nie ma ona czasu na sprawdzenie czy przestawiona w rozmowie informacja jest prawdziwa. Przestępcy też czasem podszywają się pod członka bliskiej rodziny, znajomych, szybką i niewyraźną mową proszących o pomoc np. po wypadku. Jeżeli oszuści mają choćby podstawowe informacje o nas i naszej rodzinie, to liczą na to, że pod wpływem wywołanych przez nich emocji osiągną swój zamierzony cel.
Przed takim atakiem nie ma technicznej ochrony. Nic nie da zablokowanie numeru telefonu, bo oszuści w każdej chwili mogą podszyć się pod inny numer. Nie pomagają też filtry antyspamowe, bo przecież oszuści podszywają się pod numery telefonów, których zwykle nie traktujemy jako spam. Jedyne, co można zrobić, to być świadomym możliwości wystąpienia ataku i umieć go rozpoznać.
Celem spoofera nie zawsze jest bezpośrednie uzyskanie środków finansowych. Czasami inicjatywa jest zaplanowana na podstępne nakłonienie do przekazania danych, które dopiero w późniejszym czasie posłużą do popełnienia właściwego przestępstwa kradzieży tożsamości. Jeżeli damy się oszukać i nieopatrznie podamy oszustom dane, to może mieć dla nas wiele przykrych, dotkliwych i kosztownych konsekwencji. Jedynie przykładowe z nich to:
Nie można zapominać, że na opisane powyżej ataki (vishing, smishing) narażeni jesteśmy nie tylko jako osoby prywatne, ale również jako przedsiębiorcy i osoby prawne. Każda forma phishingu – niezależnie od nowej nazwy, która ma ją charakteryzować stanowi zagrożenie dla bezpieczeństwa obrotu gospodarczego. Na ataki spooferów narażeni są też politycy i urzędnicy państwowi. Skala takich przestępstw jest na tyle duża – i wciąż dramatycznie się zwiększa – że problemem poważnie zainteresowały się organy ochrony prawnej m.in. Urząd Komunikacji Elektronicznej i NASK. W szczególności rzecznik UKE ostrzega, że nasilające się ataki spoofingowe nie są przypadkiem ani dziełem naśladowców, lecz związane są z napiętą światową i europejską sytuacją geopolityczną. Dlatego trwają prace nad rozwiązaniami prawnymi, które pozwolą skuteczniej walczyć z nowymi formami phishingu. Ale póki co, przedstawiciele administracji, jak i operatorzy telekomunikacyjni zgadzają się, że trudno będzie całkowicie wyeliminować to zjawisko wyłącznie narzędziami organizacyjnymi. Firmy telekomunikacyjne zapewniają przy tym, że zintensyfikują działania na rzecz modernizacji systemów, żeby utrudnić działanie oszustom.
Mam nadzieję, że ataki staną się rzadsze po wdrożeniu przez firmy telekomunikacyjne nowych standardów. Jednak ważna jest również edukacja i istniejących zagrożeniach, jego formach i podstawowych sposobach ochrony. Instytucje powinny szkolić swoich pracowników. Wiedza o zagrożeniach skutecznie pozwala na ich skuteczniejsze unikanie. Lepiej to zrobić zanim zagrożenie będzie miało szansę się zmaterializować. Nasze bezpieczeństwo wzmacnia również skuteczny program antywirusowy.
Autor
Paulina Wirska
Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Autor artykułów branżowych. Trener na szkoleniach z ochrony danych osobowych.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!